Por Brenda Beltramin[1]
Atualmente, a maioria das empresas já está familiarizada com a ameaça cibernética conhecida como phishing, ataque no qual cybercriminosos utilizam táticas de engenharia social para convencer a vítima a clicar em links ou abrir arquivos maliciosos, enviar informações ou transações financeiras ou ainda, agir de forma a prejudicar a si própria ou a organização para a qual trabalha.
Informações publicadas pela Agência Nacional de Proteção de Dados demonstram que phishing e engenharia social foram a principal causa de incidentes de segurança nos três primeiros trimestres de 2025[2].
Contudo, nos últimos anos, observamos um aumento nos golpes de phishing direcionados a pessoas da alta gestão de empresas de empresas, como diretores e executivos. Via de regra, esses profissionais acesso privilegiado a recursos e informações das empresas que representam, tornando-se alvos estratégicos[3].
Esses ataques geralmente ocorrem através do envio de e-mails ou ligações e tem como objetivo mais comum convencer esses executivos a realizar transações ou divulgar credenciais e informações confidenciais da empresa. Um dos métodos mais utilizados pelos cybercriminosos consiste em assumir o local de um remetente confiável – por exemplo, o CEO da empresa – para envio da solicitação ao alvo.[4]
Por natureza, esse tipo de phishing consiste em um ataque extremamente personalizado, que envolve estudo cauteloso do alvo e do remetente a partir de informações disponíveis na internet e até mesmo informações obtidas por meio de invasões aos dispositivos dessas pessoas. Em parte dos casos, o cybercriminoso se infiltra no ambiente virtual para reunir informações e aguardar um momento mais propício para o ataque – por exemplo, uma transação de alto valor.
Em alguns casos, os cybercriminosos se infiltram no ambiente virtual da empresa para coletar informações e esperam o momento mais propício para o golpe – por exemplo, uma transação de alto valor. Em outros, utilizam detalhes pessoais do alvo para tornar o golpe mais convincente – enviando e-mails fingindo ser a escola do filho ou o gerente do banco. Há também situações em que a inteligência artificial é usada para imitar a voz de pessoas conhecidas, tornando a fraude ainda mais difícil de identificar.
A preparação da empresa para enfrentar essa ameaça envolve uma série de preocupações com proteção de dados. A mais importante é a conscientização dos executivos de alto escalão da empresa sobre o que é phishing e como acontecem esses ataques, para que sejam capazes de reconhecer contatos suspeitos. Importante denotar que treinamentos de conscientização convencionais voltados para toda a empresa nem sempre contemplam a especificidade e os métodos por trás do phishing voltado para o C-Level.
No mais, esses alvos em potencial devem ser orientados quanto aos riscos atrelados à exposição excessiva em redes sociais na internet, especialmente no que tange a detalhes da rotina corporativa. Essa exposição pode resultar na concessão acidental de informações de fácil acesso a criminosos. Decerto, vivemos em um momento de ampla utilização dessas ferramentas para dividir informações sobre nossas vidas pessoais com colegas e familiares. Nesse contexto, é ainda mais importante orientar os executivos e diretores quanto aos riscos da exposição de certas informações.
Paralelamente, a implementação de medidas de segurança deve ser tratada como uma prioridade estratégica pela empresa. Medidas como autenticação em dois fatores, políticas claras de dupla validação de transações, monitoramento contínuo de acessos suspeitos e atualização de sistemas visando corrigir vulnerabilidades são fundamentais na prevenção de riscos relacionados ao phishing.
Por fim, é importante que as empresas estejam preparadas para o pior cenário possível. Ataques que envolvem o acesso não autorizado ao ambiente virtual da organização podem ter impactos significativos que vão além do evento imediato que levou à descoberta do incidente.
Uma vez identificado o acesso indevido, a empresa deve agir rapidamente para avaliar a extensão do dano, mitigar os riscos e adotar as medidas corretivas necessárias. Em alguns casos, é também obrigatório notificar as autoridades competentes. Incidentes de segurança que possam acarretar risco ou dano relevante ao titular devem ser notificados à Autoridade Nacional de Proteção de Dados no prazo de três dias úteis.
Para agir com prontidão e responder de forma eficaz a esses incidentes, a empresa deve ter planos de resposta a incidentes e gestão de crises bem definidos, estabelecendo claramente os passos a serem seguidos desde a detecção até a resolução do problema. É fundamental que as responsabilidades de cada membro da equipe estejam claramente delineadas, incluindo quem será responsável por comunicar a outros envolvidos na resposta, implementar medidas de contenção e correção, avaliar os danos e comunicar as autoridades nos prazos previstos na regulamentação.
Também é recomendável realizar simulações do plano de resposta a incidentes. Dado que situações de incidentes de segurança podem ser momentos de alta tensão, é importante que todas as pessoas envolvidas compreendam claramente suas responsabilidades, garantindo uma resposta eficiente e coordenada diante do ocorrido.
As ações citadas devem ter caráter periódico, uma vez que as tecnologias evoluem rapidamente e as técnicas de phishing se tornam cada vez mais sofisticadas. À medida que os cybercriminosos aprimoram suas estratégias, é fundamental que os executivos da empresa estejam atualizados sobre novos tipos de ataque. Ademais, a empresa deve reavaliar suas medidas de prevenção com regularidade para que possa se proteger de forma eficaz a ataques cada vez mais complexos.
[1] Advogada do Chenut, especialista em Direito Digital.